专利名称:实现密钥映射的方法及认证服务器、终端、系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种在下一代网络实现密钥映射的方法及认 证服务器、终端、系统。
背景技术:
下一代网络(NGN,Next Generation Network)作为演进的基于分组交换的网络 框架受到越来越多的关注。国际标准组织ITU-T和其他地区标准组织如欧洲标准化组织 (ETSI, European Telecommunications Standards Institute)、世角军决方案联 盟(ATIS,The Alliance for Telecommunications IndustrySolutions)等,对NGN框架模 型、业务以及相关领域进行了广泛的研究和标准化工作。NGN能够支持异构网络接入、网间漫游和无缝切换。在用户的终端进行切换时, 需要保证业务的连续性,同时要保证终端与NGN接入点之间的信令数据和用户数据的私密 性、完整性。终端在不同网络之间切换时,在认证后,需要重新生成各网络中的根密钥、中间密 钥和会话密钥,这样,便增加了终端切换网络的时延,并会大大增加认证信令交互的负担、 以及认证服务器的负担。
发明内容
有鉴于此,本发明的主要目的在于提供一种实现密钥映射的方法及认证服务器、 终端、系统,能够使得终端在不同NGN之间切换时,加快会话密钥产生的效率,减少终端在 不同网络之间中切换的时延,并减少认证信令交互,减轻认证服务器的负担。为达到上述目的,本发明的技术方案是这样实现的本发明提供了一种实现密钥映射的方法,所述方法包括在终端从原网络切换到 目的网络时,目的网络中的接入设备接收到所述终端发送的密钥材料映射请求并发送给认 证服务器;所述认证服务器在接收到所述密钥材料映射请求后,根据所述原网络中的原密 钥材料,映射得到所述目的网络的目的密钥材料,并建立终端与目的网络之间的通信安全。在上述方案中,所述认证服务器在获得所述目的密钥材料之后,向所述终端返回 映射响应,所述终端根据所述原网络中的原密钥材料,映射得到所述目的网络的目的密钥 材料。在上述方案中,所述终端根据所述原网络中的原密钥材料,映射得到所述目的网 络的目的密钥材料的过程在所述认证服务器向所述终端返回映射响应之前完成。在上述方案中,在所述终端从所述原网络切换到目的网络之前,所述方法还包括 在所述原网络中,对所述终端的认证成功后,所述认证服务器生成原密钥材料。在上述方案中,由所述原密钥材料映射得到所述目的密钥材料的过程,具体包括 根据所述原密钥材料,按照预设的映射规则,得到所述目的网络的目的密钥材料;根据所得 到的目的密钥材料,按照目的网络中的密钥推导方式,得到所述目的网络中的目的会话密钥材料。本发明还提供了一种实现密钥映射的认证服务器,所述认证服务器包括接收单 元、第一映射单元,其中接收单元,用于接收终端从原网络切换到目的网络时所发送的密 钥材料映射请求,并发送到所述第一映射单元;第一映射单元,用于根据所述原网络中的原 密钥材料映射得到所述目的网络的目的密钥材料。在上述方案中,所述认证服务器还包括发送单元,其中所述第一映射单元,还 用于将所得到的目的密钥材料发送到发送单元;发送单元,用于在接收到所述第一映射单 元发送的目的密钥材料后,向所述终端返回映射响应。在上述方案中,所述认证服务器,还包括第一生成单元,用于在所述原网络中,对 所述终端的认证成功后,生成原密钥材料。在上述方案中,所述第一映射单元,具体用于根据所述第一生成单元所生成的原 密钥材料,按照预设的映射规则,得到所述目的网络的目的密钥材料;根据所得到的目的密 钥材料,按照目的网络中的密钥推导方式,得到所述目的网络中的目的会话密钥材料。本发明还提供了一种实现密钥映射的终端,所述终端包括第二生成单元、切换单 元和第二映射单元,其中第二生成单元,用于生成原密钥材料;切换单元,用于从原网络 切换到目的网络,并启动所述第二映射单元;第二映射单元,用于根据所述第二生成单元生 成的原密钥材料,映射得到所述目的密钥材料。本发明还提供了一种实现密钥映射的系统,所述系统包括用于实现密钥映射的终 端、以及用于实现密钥映射的认证服务器,其中终端,用于在从原网络切换到目的网络时, 向所述认证服务器发送密钥材料映射请求;认证服务器,用于在接收到所述终端发送的密 钥材料映射请求后,根据所述原网络中的原密钥材料映射得到所述目的网络的目的密钥材 料,并建立终端与目的网络之间的通信安全。通过本发明,可以由已生成的原网络中原密钥的原根密钥,按照预设的映射规则, 得到目的网络的目的根密钥,再有目的根密钥通过目的网络的密钥推导方式最终得到目的 会话密钥,完成原密钥到目的密钥的映射过程,无需在终端已切换至目的网络时重新生成 新的密钥来得到目的密钥,从而可以加快会话密钥产生的效率,减少终端在不同NGN之间 切换的时延;还可以有效减少认证信令的交互,减轻认证服务器的负担。
图1为本发明实现密钥映射方法的实现流程示意图; 图2为由所述原密钥映射得到所述目的密钥的实现流程示意图; 图3为终端侧原密钥到目的密钥映射过程的实现流程示意图; 图4为本发明具体实施例一的实现密钥映射方法的流程示意图; 图5为本发明具体实施例二的实现密钥映射方法的流程示意图; 图6为本发明具体实施例三的实现密钥映射方法的流程示意图; 图7为本发明具体实施例四的实现密钥映射方法的流程示意图; 图8为本发明具体实施例五的实现密钥映射方法的流程示意图; 图9为本发明具体实施例六的实现密钥映射方法的流程示意图; 图10为本发明实现密钥映射的认证服务器组成结构示意图11为本发明实现密钥映射的终端组成结构示意图;图12为本发明实现密钥映射的系统组成结构示意图。
具体实施例方式下面将结合附图对本发明技术方案的具体实现方式做详细说明。本发明的实现密钥映射的方法,应用于NGN中,参照图1所示,主要包括以下步 骤步骤101 在终端从原网络切换到目的网络时,目的网络中的接入设备接收到所 述终端发送的密钥材料映射请求并发送给认证服务器;这里,密钥材料映射请求可以包含所述原密钥的信息,也可以只包含用于启动下 述映射过程的标识信息。这里,原网络与目的网络可以是密钥推导方式相同、介质相同的两个网络,也可以 是密钥推导方式不相同的两个网络。一般,网络介质不同,认证方式不同,NGN中的密钥推 导方式就会有所不同。步骤102 所述认证服务器在接收到所述密钥材料映射请求后,根据所述原网络 中的原密钥材料,映射得到所述目的网络的目的密钥材料,并建立终端与目的网络之间的
通信安全。其中,在步骤102之后,所述方法还包括如下步骤步骤103 所述认证服务器在获得所述目的密钥材料之后,向所述终端返回映射 响应,所述终端根据所述原网络中的原密钥材料,映射得到所述目的网络的目的密钥材料。其中,在所述步骤101的所述终端从原网络切换到目的网络之前,所述方法还包 括在所述原网络中,认证服务器对所述终端的认证成功后,生成原密钥材料。这里,所生成的原密钥材料可以包括原网络中的原根密钥、由根密钥得到的各原 中间密钥、以及采用原网络的密钥推导方式由中间密钥得到的原会话密钥等。参照图2所示,步骤102中认证服务器由所述原网络中的原密钥材料映射得到所 述目的网络的目的密钥材料的过程,具体可以包括步骤201 根据所述原密钥材料,认证服务器按照预设的映射规则得到目的网络 的目的密钥材料;步骤202 根据所得到的目的密钥材料,认证服务器按照目的网络中的密钥推导 方式,得到所述目的网络中的目的会话密钥材料。其中,映射得到的目的密钥材料中包含了目的网络中的目的根密钥。此外,还可以 包括在由目的根密钥按照密钥推导方式得到的各个目的中间密钥。这里,映射规则的预设可以根据实际应用的需要来设定。例如,可以根据原网络的根密钥在格式、大小等属性、以及目的网络对其根密钥的 属性要求,来确定映射规则。将映射规则设定为直接映射时,可以直接将原密钥材料作为目的密钥材料来使 用;或者,还可以将映射规则设定为截取部分原密钥材料作为目的密钥。例如,原密钥材料 为的字符串,而目的网络中目的根密钥只能包含2bit的字符串,则可以在原密钥材料中任意截取或按序截取2bit的字符作为目的密钥材料;如果目的网络中的目的根密钥可 以包含的字符串,则可以直接将原密钥材料作为目的密钥材料来使用。或者,还可以由原密钥材料由预先设定的映射规则,生成新的密钥来作为目的密 钥材料。其中,步骤103中向所述终端返回映射响应,具体可以为在得到所述目的会话密钥材料之后,认证服务器向所述终端返回映射响应,以通 知所述终端在目的网络中的上述密钥处理过程已完成。这里,所述映射响应中可以为包含所得到的所述目的会话密钥材料的响应信息, 也可以只是用于标识所述目的会话密钥材料已得到的响应信息。此外,参照图3所示,在本发明实现密钥映射的方法中,还可以为终端侧原密钥材 料到目的密钥材料的映射过程,具体可以包括以下步骤步骤301 所述终端经过所述认证服务器认证后,生成所述原密钥材料;步骤302 在从所述原网络切换到所述目的网络时,所述终端根据所生成的原密 钥材料映射得到所述目的密钥材料。这里,步骤302中根据所生成的原密钥材料映射得到所述目的密钥材料的具体实 现方式与上述步骤102的处理过程相同,在此不再赘述。在实际应用中,在所述终端和认证服务器均得到所述的目的会话密钥材料后,所 述终端便可以通过目的会话密钥材料,实现在所述目的网络中的安全通信。下面将对本发明密钥映射方法的具体实现方式做详细说明。具体实施例一参照图4所示,实现密钥映射的系统包括终端、原网络的原接入设备、目的网络 的目的接入设备、以及认证服务器,通过该系统完成密钥映射方法的流程如下步骤401 在原NGN,终端与认证服务器之间完成认证过程,认证成功后,终端与认 证服务器均生成原密钥材料;这里的原密钥材料可以包括原NGN中的原根密钥、由该原根密钥得到的各原中 间密钥、以及根据原NGN的密码推导方式最终得到的原会话密钥,终端可以通过原密钥材 料来实现在原NGN中的安全会话。其中,原接入设备也可以参与到认证过程中。步骤402 终端从原NGN切换到与目的NGN时,终端向目的接入设备发送密钥材料 映射请求;其中,密钥材料映射请求可以包含所生成的原密钥材料,也可以不包含所述原密 钥而只是作为启动原密钥材料到目的密钥材料的映射过程的一种标识信息。步骤403 目的接入设备转发所述密钥材料映射请求到认证服务器;步骤404 认证服务器由自身生成的或者所述密钥材料映射请求中携带的原密钥 材料映射得到目的密钥材料,完成后发送映射响应到目的接入设备;这里,所得到的目的密钥材料中包含了目的网络的目的根密钥、由目的根密钥按 照目的NGN的密码推导方式得到的各个目的中间密钥等;在得到目的密钥材料之后,再由该目的密钥材料按照目的NGN的密码推导方式最 终得到的目的会话密钥材料。
7
映射响应可以包含所得到的目的会话密钥材料和/或目的密钥材料,也可以只是 用于标识已得到目的会话密钥材料的信息。步骤405 目的接入设备转发映射响应到终端,映射成功,终端在目的密钥的保护 下,与目的NGN中的其他终端或服务器等进行安全通信。这里,在终端从原NGN切换到目的NGN时,终端也将根据所生成的原密钥材料映射 得到所述目的密钥材料,在终端与认证服务器中均得到所述目的密钥材料和目的会话密钥 材料后,终端便可通过目的密钥在目的NGN中进行安全会话。具体实施例二参照图5所示,通过上述具体实施例一中实现密钥映射的系统,完成密钥映射方 法还可以通过以下流程来实现步骤501 与步骤401完全相同;步骤502 从原NGN切换到与目的NGN时,终端发送密钥材料映射请求到原接入设 备;步骤503 原接入设备转发所述密钥材料映射请求到目的接入设备;具体地,可以在所述密钥材料映射请求中携带目的接入设备的地址等信息,或者, 还可以在终端从原NGN切换到目的NGN时,先将目的接入设备的地址等信息发送给原接入 设备并保存;这样,原接入设备便可以在接收到密钥材料映射请求时,根据所携带的或已保 存的目的接入设备的地址等信息将密钥材料映射请求转发到目的接入设备。步骤504-506 与步骤403-405完全相同。通过以上流程可知,本具体实施例的其他过程与上述具体实施例一完全相同,所 不同的是通过原接入设备将终端发送的密钥材料映射请求转发到目的接入设备。具体实施例三参照图6所示,本具体实施例中实现密钥映射的系统主要包括终端、原网络的原 接入设备和原认证服务器、以及目的网络的目的接入设备和目的认证服务器,通过本具体 实施例的密钥映射处理系统完成密钥映射方法的流程如下步骤601 在原NGN,终端与原认证服务器之间完成认证过程,认证成功后,终端与 原认证服务器均生成原密钥;步骤602 与步骤402完全相同;步骤603 目的接入设备将所述密钥材料映射请求转发到目的认证服务器;步骤604 目的认证服务器转发所述密钥材料映射请求到原认证服务器;具体地,可以在所述密钥材料映射请求中携带原认证服务器的地址等信息,或者, 还可以在终端从原NGN切换到目的NGN时,先将原认证服务器的地址等信息发送给目的认 证服务器并保存;这样,目的认证服务器在接收到密钥材料映射请求,便可以根据所携带的 或已保存的原认证服务器的地址等信息将密钥材料映射请求转发到原认证服务器。步骤605 原认证服务器完成原密钥材料映射得到目的密钥材料的过程后,发送 映射响应到目的认证服务器;步骤606 目的认证服务器转发映射响应到目的接入设备;步骤607 与步骤405完全相同。通过以上流程可知,本具体实施例可以应用于原NGN中的认证服务器与目的NGN
8的认证服务器不相同的情况。具体实施例四参照图7所示,通过上述具体实施例三中实现密钥映射的系统,完成密钥映射方 法还可以通过以下流程来实现步骤701 与步骤601完全相同;步骤702 与步骤502完全相同;步骤703 与步骤503完全相同;步骤704-708 与步骤603-607完全相同。在本具体实施例中,通过原接入设备将终端发送的密钥材料映射请求转发到目的 接入设备。具体实施例五参照图8所示,在本具体实施例中,在ITU-T NGN中,实现密钥映射的系统的组成 结构与具体实施例一及具体实施例二中的结构相同,所不同的是,其中的原接入设备包括 原接入转发模块和原接入管理模块,目的接入设备则包括目的接入转发模块和目的接入管 理模块。这里,原接入转发模块和目的接入转发模块功能相同,具有但不限于以下功能用 于转发终端与认证服务器之间的信令如认证消息等。原接入管理模块与目的接入管理模块功能相同,均具有但不限于以下功能用于 获取终端的网络信息,如终端在网络中的链路信息、终端在网络中的位置信息等。另外,在 认证过程中还可以具有认证者的功能,或者还可以用于转发终端的认证信息到认证服务
ο通过本具体实施例的实现密钥映射的系统完成密钥映射方法的流程如下步骤801 与步骤401完全相同;步骤802 从原NGN切换到与目的NGN时,终端发送密钥材料映射请求到目的接入 设备的目的接入管理模块;这里,也可以通过目的接入转发模块转发到目的接入管理模块。步骤803 目的接入管理模块转发密钥材料映射请求到认证服务器;步骤804 认证服务器完成原密钥材料映射得到目的密钥材料的过程后,发送映 射响应到目的接入设备的目的接入管理模块;步骤805 目的接入管理模块转发映射响应信息到终端,映射成功,终端在目的密 钥材料的保护下,与目的NGN中的其他终端或服务器等进行安全通信。这里,目的接入管理模块也可以通过目的接入转发模块将映射响应转发到终端。具体实施例六参照图9所示,通过上述具体实施例五中实现密钥映射的系统,完成密钥映射方 法还可以通过以下流程来实现步骤901 与步骤801完全相同;步骤902 从原NGN切换到与目的NGN时,终端发送密钥材料映射请求到原接入设 备的原接入管理模块;步骤903 原接入管理模块转发所述密钥材料映射请求到目的接入设备的目的接入管理模块;步骤904-906 与步骤803-805完全相同。本发明实现密钥映射的认证服务器,参照图10所示,主要包括接收单元11、第一 映射单元12,其中接收单元11,用于接收终端从原网络切换到与目的网络时所发送的密钥材料映射 请求,并发送到所述第一映射单元12 ;第一映射单元12,用于根据所述原网络中的原密钥材料映射得到所述目的网络的 目的密钥材料。其中,上述的实现密钥映射的认证服务器,还包括发送单元13,其中所述第一映射单元12,还用于将所得到的目的密钥材料发送到发送单元13 ;发送单元13,用于在接收到所述第一映射单元12发送的目的密钥材料后,向所述 终端返回映射响应。其中,所述认证服务器还可以包括第一生成单元14,用于在所述原网络中,对所述终端的认证成功后,生成原密钥材 料。其中,所述第一映射单元12,具体用于根据所述第一生成单元14所生成的原密 钥材料,按照预设的映射规则,得到所述目的网络的目的密钥材料;根据所得到的目的密钥 材料,按照目的网络中的密钥推导方式,得到所述目的网络中的目的会话密钥材料。本发明的实现密钥映射的终端,参照图11所示,主要包括第二生成单元21、切换 单元22和第二映射单元23,其中第二生成单元21,用于生成所述原密钥材料;切换单元22,用于从原网络切换到目的网络,并启动所述第二映射单元23 ;第二映射单元23,用于根据所述第二生成单元21生成的原密钥材料映射得到所 述目的密钥材料。本发明的一种密钥映射的系统,参照图12所示,所述系统包括上述的用于实现密 钥映射的终端31、以及上述的用于实现密钥映射的认证服务器32,其中终端31,用于在从原网络切换到目的网络时,向所述认证服务器发送密钥材料映 射请求;认证服务器32,用于在接收到所述终端31发送的密钥材料映射请求后,根据所述 原网络中的原密钥材料映射得到所述目的网络的目的密钥材料,并建立终端与目的网络之 间的通信安全。这里,本发明所提供的实现密钥映射的认证服务器、终端以及系统,可以应用于 NGN中,通过上述认证服务器、终端以及系统在NGN中实现密钥映射的具体过程,在上文已 详述,在此不再赘述。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在 本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护 范围之内。
10
权利要求
1.一种实现密钥映射的方法,其特征在于,所述方法包括在终端从原网络切换到目的网络时,目的网络中的接入设备接收到所述终端发送的密 钥材料映射请求并发送给认证服务器;所述认证服务器在接收到所述密钥材料映射请求后,根据所述原网络中的原密钥材 料,映射得到所述目的网络的目的密钥材料,并建立终端与目的网络之间的通信安全。
2.根据权利要求1所述的实现密钥映射的方法,其特征在于,所述认证服务器在获得 所述目的密钥材料之后,向所述终端返回映射响应,所述终端根据所述原网络中的原密钥 材料,映射得到所述目的网络的目的密钥材料。
3.根据权利要求2所述的实现密钥映射的方法,其特征在于,所述终端根据所述原网 络中的原密钥材料,映射得到所述目的网络的目的密钥材料的过程在所述认证服务器向所 述终端返回映射响应之前完成。
4.根据权利要求1、或2、或3所述的实现密钥映射的方法,其特征在于,在所述终端从 所述原网络切换到目的网络之前,所述方法还包括在所述原网络中,对所述终端的认证成功后,所述认证服务器生成原密钥材料。
5.根据权利要求4所述的实现密钥映射的方法,其特征在于,由所述原密钥材料映射 得到所述目的密钥材料的过程,具体包括根据所述原密钥材料,按照预设的映射规则,得到所述目的网络的目的密钥材料;根据所得到的目的密钥材料,按照目的网络中的密钥推导方式,得到所述目的网络中 的目的会话密钥材料。
6.一种实现密钥映射的认证服务器,其特征在于,所述认证服务器包括接收单元、第 一映射单元,其中接收单元,用于接收终端从原网络切换到目的网络时所发送的密钥材料映射请求,并 发送到所述第一映射单元;第一映射单元,用于根据所述原网络中的原密钥材料映射得到所述目的网络的目的密 钥材料。
7.根据权利要求6所述实现密钥映射的认证服务器,其特征在于,所述认证服务器还 包括发送单元,其中所述第一映射单元,还用于将所得到的目的密钥材料发送到发送单元;发送单元,用于在接收到所述第一映射单元发送的目的密钥材料后,向所述终端返回 映射响应。
8.根据权利要求6或7所述实现密钥映射的认证服务器,其特征在于,所述认证服务 器,还包括第一生成单元,用于在所述原网络中,对所述终端的认证成功后,生成原密钥材料。
9.根据权利要求8所述实现密钥映射的认证服务器,其特征在于,所述第一映射单元, 具体用于根据所述第一生成单元所生成的原密钥材料,按照预设的映射规则,得到所述目的网 络的目的密钥材料;根据所得到的目的密钥材料,按照目的网络中的密钥推导方式,得到所 述目的网络中的目的会话密钥材料。
10.一种实现密钥映射的终端,其特征在于,所述终端包括第二生成单元、切换单元和第二映射单元,其中第二生成单元,用于生成原密钥材料;切换单元,用于从原网络切换到目的网络,并启动所述第二映射单元; 第二映射单元,用于根据所述第二生成单元生成的原密钥材料,映射得到所述目的密 钥材料。
11. 一种实现密钥映射的系统,其特征在于,所述系统包括用于实现密钥映射的终端、 以及用于实现密钥映射的认证服务器,其中终端,用于在从原网络切换到目的网络时,向所述认证服务器发送密钥材料映射请求;认证服务器,用于在接收到所述终端发送的密钥材料映射请求后,根据所述原网络中 的原密钥材料映射得到所述目的网络的目的密钥材料,并建立终端与目的网络之间的通信安全。
全文摘要
本发明公开了一种实现密钥映射的方法,该方法可以应用于NGN中,主要包括终端从原网络切换到目的网络时,认证服务器收到所述终端发送的密钥材料映射请求,再根据所述原网络中的原密钥材料映射得到所述目的网络的目的密钥材料,并建立终端与目的网络之间的通信安全;之后,认证服务器再向所述终端返回映射响应,所述终端根据所述原网络中的原密钥材料,映射得到所述目的网络的目的密钥材料。此外,本发明还公开了一种实现密钥映射的认证服务器、终端及系统,通过本发明的方案,能够使得终端在不同NGN之间切换时,加快其会话密钥产生的效率,减少终端在网络之间切换的时延,并有利于减少认证信令交互,减轻认证服务器的负担。
文档编号H04W36/08GK102131191SQ20101000124
公开日2011年7月20日 申请日期2010年1月15日 优先权日2010年1月15日
发明者王鸿彦, 韦银星 申请人:中兴通讯股份有限公司